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Рассмотрена и оценена возможность применения раскрашенных сетей Петри для анализа криптографиче- 
ских протоколов распределения ключей на примере симметричного протокола Нидхема — Шрёдера. 
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Введение. Одной из наиболее важных задач, которые необходимо решать при организации 
защиты информационной системы с помощью криптографических алгоритмов, является задача 
управления ключами. Очевидно, что как бы ни была сложна и разумно устроена криптосистема, 
некорректное обращение с ключами может значительно понизить уровень её защищённости. 
Под управлением ключами принято понимать информационный процесс, включающий в себя 
четыре основных элемента: генерацию ключей, накопление ключей, распределение ключей, 
процедуру их ввода и синхронизации [1, 2]. Наиболее распространённым решением задачи рас- 
пределения ключей является использование специализированных криптографических протоко- 
лов. 

Фактически криптографический протокол — это распределённый алгоритм, определяю- 
щий последовательность шагов, точно специфицирующих действия, которые требуются от уча- 
стников для решения некоторой криптографической задачи, например, обеспечение целостно- 
сти, секретности, аутентичности информации [2, 3, 4]. При анализе качества протокола необхо- 
димо обратить внимание не только на достижение желаемого результата всеми участниками 
протокола, но и на недопустимость проведения атак на протокол злоумышленниками. Отметим, 
что при анализе протокола используемые в нём криптографические алгоритмы и примитивы 
считаются надёжными, а анализу подвергаются сообщения, которыми обмениваются участники 
протокола, а именно их содержимое и порядок следования. Формальный анализ и выявление 
недостатков криптографических протоколов на деле оказывается весьма затруднительным. Из- 
вестны факты, когда протоколы даже с небольшим количеством сообщений долгое время скры- 
вали свои уязвимости [2, 4, 5]. 

Существует ряд математических аппаратов, используемых для решения задачи фор- 
мального анализа протокола, например, модальные логики, конечные автоматы, спецификаци- 
онные языки [2, 4, 6]. Эти подходы достаточно новые, каждый из них имеет как достоинства, 
так и недостатки. В обзорных работах по формальным методам анализа протоколов часто упо- 
минается возможность верификации протоколов на основе моделирования сетями Петри, одна- 
ко, исследований, посвящённых именно этому вопросу, достаточно мало, например [4, 6, 7, 8]. 
Цель работы. Рассмотреть и оценить возможность применения сетей Петри к верификации 
криптографических протоколов распределения ключей. Для достижения цели в работе с помо- 
щью раскрашенных сетей Петри для ряда криптографических протоколов построены модели. По 
итогам исследования моделей сделаны выводы о возможности верификации криптографических 
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протоколов распределения ключей с использованием раскрашенных сетей Петри. В работе ис- 
следован ряд протоколов, однако наиболее подробно рассмотрена модель выработки сеансово- 
го ключа симметричного протокола Нидхема — Шрёдера. 

Протокол Нидхема — Шрёдера. Этот протокол хорошо изучен. Он получил широкую извест- 
ность, так как долгое время скрывал свою уязвимость в обеспечении безопасности [2, 5]. Целью 
данного протокола является выработка общего сеансового ключа Каз для участников протокола 
Аи Вс использованием доверенного посредника $. Говоря о доверенном посреднике для выра- 
ботки ключей, мы считаем, что участники Аи Вуже имеют долговременные ключи для общения 
с ним, а кроме этого, доверяют 5 вырабатывать ключ для связи между участниками. Запишем 
протокол в виде схемы обмена сообщениями. 

1. АЪЗ:А, В, М,. 


25 АНИ В КАКА. 
3. А>В:4К», А}. 

4. ВА: {М5}. 

5. АВ :4М -1}, 


Здесь А, В, $ — участники протокола; №, М — уникальные числовые вставки (нонсы), исполь- 
зуемые только в одном сеансе связи; Кдх, Кве, Кдв — ключи для обмена сообщениями между уча- 
стниками Аи 5, Ви $5, Аи В, соответственно; запись типа {Х}к означает шифрограмму от Хна 
ключе К; запись типа А -› 5$; Хи, № означает, что участник А отправляет $ сообщения Хи, Х№. 
Считается, что до начала протокола у участников есть договорённость об используемых крипто- 
графических алгоритмах и о порядке следования элементов в сообщениях. 

Прокомментируем шаги протокола. На первом шаге пользователь А сообщает доверен- 
ному серверу 5, что он намерен получить ключ для переписки с В. Во втором сообщении $ гене- 
рирует ключ Кдв и посылает его А, в сообщении содержится также цифровая вставка /М, по ко- 
торой А узнаёт, что он получил сообщение сервера на свой запрос. На следующем шаге А от- 
правляет В ключ Кав, зашифрованный на ключе Кьс. Участник В доверяет этому посланию, так 
как оно зашифровано на ключе доверенного сервера 5, а имя А, указанное в этом сообщении, 
говорит В, что ключ Кдв предназначен для общения с А. Участник В на 4-м шаге должен прове- 
рить, что отправитель сообщения {К дв’ Ак действительно является А и этот участник наме- 


рен установить защищённый обмен сообщениями. Для этого он отправляет А свой нонс в за- 
шифрованном виде. В последнем сообщении, чтобы убедить партнёра В в своей дееспособно- 
сти, инициатор переговоров шифрует простое выражение, зависящее от М, и отправляет его А. 
Если все шаги протокола выполнены, то участники считают, что у них есть надёжный сеансовый 
КЛЮЧ КАв. 

Процедура с использованием нонсов Мл, М№ви № - 1 служит для подтверждения участни- 
ками факта новизны, или, как принято говорить, свежести сеансового ключа Кдв, т. е. для под- 
тверждения того, что указанный ключ был впервые использован в данном сеансе связи и не 
использовался ранее для связи этих двух участников. Основным недостатком рассмотренного 
протокола является то, что В не уверен в свежести ключа Киз, полученного на третьем шаге. 
Таким образом, злоумышленник М может записать сообщения прошлых сеансов протокола и 
впоследствии использовать их для атаки на протокол [5]. 

Опишем схему протокола Нидхема — Шрёдера с атакующим злоумышленником. 

1. А>5:А, В, М,. 


2. 5 >А:{М,, В, Кв, АКав, АЗк, } к. 
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М> В:{К „Аз, 
ВА: {МЫ} к. 
М->А: {М5}, 
А>В:4М, -Ц,, 
М> В: {М5}. . 


На третьем шаге М отправляет старое сообщение от имени А, на четвёртом перехватывает со- 
общение и заменяет его на пятом шаге. Таким образом, М подменяет сообщения, адресованные 
В, а В верит в то, что он совместно с А в реальном времени вырабатывает новый сессионный 
КЛЮЧ Кв. 

Раскрашенные сети Петри. Сети Петри — это весьма востребованный математический аппа- 
рат для моделирования динамических дискретных систем. Сеть Петри может быть задана как 
алгебраически, так и графически. С точки зрения алгебры, сеть Петри задаётся кортежем сле- 
дующего вида С = (Р, Т, Г О и), где Р, Т — конечные множества позиций (состояний сети) и 
переходов (событий сети), Г, О — множества входных и выходных функций, и — вектор нату- 
ральных чисел, определяющий маркировку сети. Графически сеть Петри представляет собой 
двудольный ориентированный граф, в котором позициям соответствуют вершины, изображае- 
мые кружками, а переходам — вершины, изображаемые чёрточками или прямоугольниками; 
функциям /Г соответствуют дуги, направленные от позиций к переходам, а функциям О — дуги, 
направленные от переходов к позициям. Дугами могут соединяться только вершины различных 
типов. Для описания динамики процессов, реализуемых в сети Петри, дополнительно вводится 
понятие фишки. Размещение фишек по позициям сети называется маркировкой ц. Перемещения 
фишек по сети представляют собой совокупность срабатываний переходов и отображают смену 
дискретных состояний моделируемой системы. Срабатывание перехода возможно, если имеется 
соответствующее переходу событие (т. н. предусловие). Выполнение события представляется 
фишкой в позиции, соответствующей этому условию. При запуске (срабатывании) перехода из 
входных позиций (предусловий) фишки удаляются, а в выходных позициях (постусловиях) — 
появляются. В раскрашенных сетях фишки являются элементами некоторого абстрактного типа 
данных, традиционно называемого цветом. Подробное описание сетей Петри хорошо представ- 
лено, например, в [9]. 

Идея построения моделей криптографических протоколов на основе раскрашенной 
сети Петри. Для построения сети Петри, отражающей работу протокола, выделим два типа 
объектов в моделируемом протоколе, а именно состояния и события. Под состояниями будем 
понимать такие сущности, как ключ, нонс, сообщение, т. е. объекты, состояние которых можно 
охарактеризовать одним из двух значений, например, 1 — состояние реализуется, 0 — нет. Под 
событиями в модели будем понимать нечто, происходящее практически мгновенно, например, 
отправка или получение, зашифровывание или расшифровывание сообщения. Выделенные со- 
стояния используем в качестве позиций сети, а события в модели будут представлены перехо- 
дами. 


номкьо 


Каждому участнику протокола соответствует часть построенной сети, содержащая пози- 
ции и переходы, связанные с ключами этого участника и сообщениями, которые он отправляет 
другим участникам. Части сети, соответствующие различным участникам протокола, между со- 
бой не пересекаются. Отметим также, что одной сущности в протоколе может соответствовать 
несколько позиций в сети. Как правило, эти позиции относятся к разным участникам протокола. 
Например, секретный ключ двух участников протокола представлен позицией у каждого из уча- 
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стников, а также, в зависимости от протокола, он может быть представлен дополнительно в 
канале связи. 

Как и во всех моделях, построенных на основе сетей Петри, наличие и значение сущно- 
сти в позиции определяется фишкой, а движение фишек по сети является предметом анализа 
сети. Для движения фишек необходимо срабатывание переходов, которое, как и наступление 
событий в реальной системе, определяет ход работы протокола. 

В сеть может быть добавлена позиция, обозначающая успешное завершение работы 
протокола. Фишка в эту позицию попадает, например, если легальные участники протокола по- 
лучают общий сессионный ключ. Тогда, анализируя свойство достижимости сети, при которой в 
этой позиции окажется нужная фишка, можно определить, приведёт ли протокол к заданной 
цели, а также выяснить, наступление каких событий может этому помешать. 

Для проведения анализа модели криптографического протокола необходимо либо по- 
строить дерево достижимости; либо многократно запускать работу сети с различным порядком 
срабатывания переходов, перебирая все возможные варианты, и при этом отслеживать основ- 


убебаганопв ные характеристики сети; либо использовать 
№ стапдага риоге$ матричную теорию сетей Петри для отслежива- 
т бЕапдага дебагаНоп$ ния возможных маркировок сети [9]. Далее в 
» с0|5её ИМТ работе будем использовать многократный запуск 
т с0|5еЁ МТ = п; сети с помощью автоматизированных инстру- 

» с0|5еЕ ВОО ментов. 
» с0|5еЁ 5ТЕ1М6 Программный комплекс СРМ Тоо. Чем 
Узег десагабоп$ больше позиций и переходов содержит сеть 
у со|5еЕ Р5=5 пд миЕИ “а".."2" ап@ 3..3; Петри, тем сложнее её корректное построение и 
туаг КаБ: Р5; анализ. Для анализа моделей криптографиче- 


туаг М6 _Каь, №Ь1_КаБ: 5Т®1Мб; 
тп Ра)=а^"-1"; 

туаг |: 1МТ; 

туаг М2: 5ТЕМС; 

туаг Каз, КБ$, Каб_КБ$: 5ТЕМС; 
туаг Ма, МЬ, №1, №2: 5ТЕМб; 


ских протоколов распределения ключей в рабо- 
те использован программный комплекс СРМ Тоо| 
[10], разрабатываемый группой А!5 Эйндховен- 
ского университета технологий (Нидерланды) 
(Епабомеп  Упмег$ну о  Тесппоюду, ТИе 
МееНапа$). Раскрашенные сети Петри модели- 
Рис. 1. Описание переменных в терминах языка рующей системы СРМ Тоо5 представляют собой 
программирования СРМ МЕ комбинацию графа сети Петри и языка програм- 
мирования СРМ МЕ, используемого для описания 
типов элементов сети. СРМ Тоо|5 обладает средствами для наглядного и удобного построения и 
исполнения сетей Петри, обеспечивает проверку структуры конструируемых сетей, быстрое их 
исполнение, проведение полного или частичного анализа пространственных состояний, автома- 
тическую проверку живости и связности. Важными характеристиками СРМ Тос|5 являются его 
свободное распространение, мультиплатформенность, качественная техническая поддержка и 
доступность документации справочного характера. 
Модель протокола Нидхема — Шрёдера на основе раскрашенной сети Петри. Опишем 
разработанную модель подробнее. На рисунке 1 с использование языка СРМ МЕ представлена 
часть описания модели, построенной в системе СРМ Тоо|5. Специальный тип данных Р$ был за- 
дан для описания ключей. Далее в переменных этого типа методом гап() языка СРМ МЕ будут 
генерироваться случайные значения — аналоги случайных ключей. Строки описания, начинаю- 
щиеся со служебного слова \аг, задают переменные. Описание назначения, начального значе- 
ния, а также указание участников, к которым относятся эти переменные, представлены в таб- 
лице 1. 
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Описание переходов, используемых в построенной модели, находится в таблице 2. В ле- 
вом столбце указаны названия переходов, а в правом — описания связанных с каждым из них 
событий. Отметим, что, так как средствами СРМ МЁ нельзя описать алгоритм шифрования, то 
для имитации шифрования в работе использована конкатенация строк сообщения и ключа. 








































































































Таблица 1 
Описание фишек-переменных построенной модели 
Переменная Нач. значение Назначение Переменная Нач. значение Назначение 
Участник А Участник В 
№ «1» Нонс А Кв5 «КЬ5» Общий ключ Ви $ 
Каз «Каз» Общий ключ Аи $ Кав — Сеансовый ключ 
Кв — Сеансовый ключ № «2» Нонс В 
№ = Нонс В № 2 = Нонс, полученный от А, 
после обратной операции 
Ме = Обработанный нонс В |/Мв — Нонс, полученный от А 
Участник $ Дополнительные переменные 
Кв5 «КЬ5» Общий ключ Ви $ № Канал связи между Аи $ 
Каз «Каз» Общий ключ Аи $ Клв_Кве, Ма_Кав, |Канал связи между А и В. Имя переменной 
№1 __Кав совпадает с именем фишки, для которой 
она предназначена 
Кав — Сеансовый ключ Нпа! Конечная позиция. Содержит {гие в случае 
успешного выполнения протокола, иначе — 
Гае. 
№ И Нонс А 
Таблица 2 
Описание переходов построенной модели 
Название перехода Описание действия 

11 При появлении фишки-нонса Мл у участника А генерирует новый сеансовый ключ Кв как случайное 
значение типа Р5 и сохраняет нонс для дальнейшего использования. 

Т2 Используя Кв5, шифрует сеансовый ключ Кдв. 

ТЗ Собирает в одно сообщение №, {Кв . ‚ Кав, шифрует это сообщение ключом Кд5 и отправляет 
сообщение в канал связи. 

14 Отправляет /М к участнику $ (инициирует работу всего протокола). 

Т5 Расшифровывает сообщение, извлекает из него Мл, Кав, сеансовый ключ, зашифрованный ключом 
участника В, Клв_Квз. Сохраняет Кдв в ПОЗИЦИИ Кдв, относящейся к А. Кдв_Квз отправляет в канал 
связи с В. 

Т6 Срабатывает при получении от В нонса, зашифрованного сеансовым ключом. Используя сеансовый 
ключ из позиции А, расшифровывает нонс участника Ви сохраняет его для дальнейшего 
использования. 

Т7 Получает обработанный нонс №! участника Ви сеансовый ключ Кв. Шифрует №! ключом Кв и 
передаёт в канал связи. 

78 Принимает переменную-нонс Л, сохраняет результат вычисления функции Г (см. рис. 1) от 
значения нонса. 

т9 Срабатывает при появлении в канале связи сообщения от А. Расшифровывает сообщение с 
помощью общего ключа Ви $и сохраняет сеансовый ключ. 

110 Выполняет действия, обратные действиям перехода Т8 с входящей фишкой и сохраняет результат. 

7111 Финальный переход. Получает исходный нонс участника В, и нонс, полученный после обработки А. 
Отправляет в позицию Р/па/! фишку гие, если нонсы равны, иначе отправляет фишку Гае. 

712 Расшифровывает сообщение от А сеансовым ключом Кав и сохраняет результат. 

713 Шифрует нонс участника В сеансовым ключом и отправляет его в канал связи. 











Граф модели Петри рассматриваемого протокола, построенной в системе СРМ Тос, 
представлен на рисунке 2. Из теории известно, что граф сети Петри задаёт алгебраическую 
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структуру сети однозначно и наоборот, поэтому выписывать алгебраическую структуру в явном 





Рис. 2. Сеть Петри, моделирующая работу протокола Нидхема — Шрёдера 


На графе пунктиром выделены части сети, относящиеся к различным участникам. Пози- 
ции, не вошедшие ни в какое выделение, относятся к каналу связи. Очевидно, что для построе- 
ния модели злоумышленника, действующего в канале связи, необходимо «привязывать» его 
работу именно к этим позициям. 
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Результаты анализа работы модели протокола Нидхема — Шрёдера. Желаемая конеч- 
ная разметка с фишкой {гие в позиции Рпа/! и одинаковыми фишками — сеансовыми ключами в 
позициях Кив У Алисы и Боба достигается при всех возможных вариантах последовательности 
срабатывания переходов, следовательно, цели протокола по результатам его исполнения дости- 
гаются. Сеть не имеет тупиковых разметок и неустойчивых переходов, следовательно, в реаль- 
ной информационной системе протокол будет работать устойчиво. Во время выполнения прото- 
кола не возникает зацикливаний, количество фишек ни в одной из позиций не разрастается, 
следовательно, в технической реализации протокола могут быть наложены ограничения на 
объём памяти. Однако известная слабость протокола, связанная с возможностью использования 
старых сеансовых ключей, в данной модели никак себя не обнаруживает. 

Результаты исследования моделей для других протоколов. В ходе данного исследова- 
ния кроме модели протокола Нидхема — Шрёдера были построены модели протоколов Диф- 
фи — Хеллмана, ЗкаНоп-кю-$а{Ноп и широкоротой лягушки. Модель протоколов Диффи — Хелл- 
мана и 5аНоп-ю-$а{оп выработки общего ключа, как и модель протокола Нидхема — Шрёдера, 
не показывает возможность реализации атаки типа «человек посередине». Однако, зная о воз- 
можности этой атаки, авторы сумели построить модели этих протоколов с учётом работы зло- 
умышленника в сети. Полученные модели подтвердили возможность реализации такой атаки. 
Модель протокола широкоротой лягушки показала слабость протокола, связанную с отсутствием 
подтверждения получения ключа вторым участником протокола. Таким образом, в результате 
случайного или преднамеренного искажения ключа в канале связи между участником А и дове- 
ренным сервером 5 или между $и В возможна ситуация, когда участники Аи В пользуются раз- 
личными ключами и, как следствие, не могут читать сообщения друг друга. 

Выводы по проведённым модельным экспериментам. Подведём итоги анализа моделей 
криптографических протоколов распространения ключей на основе сетей Петри. 

К несомненным достоинствам использования сетей Петри относится их широкая распро- 
странённость. В связи с этим существует много работ, посвящённых развитию и анализу сетей, 
а также существуют легко доступные качественные программные средства, часто свободно рас- 
пространяемые, позволяющие анализировать сети Петри в автоматическом режиме, например 
использованный в работе комплекс СРМ Тос[. 

Анализ модели протокола, построенной в виде сети Петри, позволяет сделать ряд выво- 
дов, касающихся технической стороны реализации протокола. Так, достижимость финальной 
разметки показывает возможность достижения сетью желаемых результатов. Анализ безопасно- 
сти и консервативности сети позволяет сделать вывод о возможности введения ограничений на 
технические средства в реальной информационной системе, например на ёмкость памяти. Рас- 
смотрение уровня активности переходов сети позволяет выявить избыточные переходы, ситуа- 
цию взаимной блокировки в моделируемой системе, а также переходы, срабатывание которых 
ничем не ограничено, а, следовательно, они могут отправлять необоснованно большое количе- 
ство данных в канал связи. 

Сети Петри позволяют оценить возможности мошенничества легальных пользователей 
или работы злоумышленников в случае, когда модель криптографического протокола соединя- 
ется с моделью злоумышленника. Эта проблема исследуется в [7]. 

Часто исследователи к достоинствам моделей на основе сетей Петри относят их нагляд- 
ность. Однако, на наш взгляд, это весьма спорное мнение, и чем больше элементов в протоко- 
ле, тем более объёмным и запутанным становится граф сети Петри. 

Укажем недостатки верификации протоколов с помощью сетей. Так, при использовании 
сетей Петри строго не определён процесс специфицирования, то есть процесс построения гра- 
фа сети по протоколу. Фактически сеть, моделирующую работу протокола и действующего в 
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ней злоумышленника, исследователю протокола необходимо создать вручную, что не позволяет 
полностью автоматизировать процесс и чревато ошибками реализации. Однако отметим, что это 
замечание справедливо для всех известных авторам методов математического исследования 
криптографических протоколов. 

Модель криптографического протокола, построенная с помощью сети Петри, сама по се- 
бе малоинформативна с точки зрения возможностей злоумышленников, а также знаний и дове- 
рий легальных участников протокола и не обнаруживает многих уязвимостей. Таким образом, 
формальный анализ уязвимостей невозможен, допустимо лишь проверить на модели степень 
опасности уязвимости, найденной другим способом. 

Заключение. В работе построены модели симметричных протоколов распределения ключей 
Нидхема — Шрёдера, Диффи — Хеллмана и широкоротой лягушки. 

Результаты работы показали, что сети Петри не могут быть основным или единственным 
инструментом для проведения верификации криптографических протоколов. Они могут быть 
использованы лишь во вспомогательных целях. Во-первых, сети Петри можно применять для 
доказательства возможных атак и их демонстрации, во-вторых, для определения достижимости 
конечной маркировки, т. е. подтверждения, достигает ли протокол своей цели, в-третьих, для 
оценки возможности введения ограничений на технические средства в реальной информацион- 
ной системе, где используется исследуемый протокол. И, наконец, для исследования возможно- 
сти возникновения в протоколе «тупиков», т. е. ситуаций, когда действия участников недоста- 
точно полно специфицированы. 

Однако представляется целесообразным построение сетями Петри моделей узкого клас- 
са криптографических протоколов, в которых для подтверждения свежести ключа кроме нонсов 
используются и метки времени. Такая техника используется, например, в протоколах Керберос, 
0А$$, Ньюмана — Стабблбайна [2]. Метка времени может указывать либо на время действия 
сеансового ключа, либо на время жизни нонса. В таком случае для моделирования нужно ис- 
пользовать временные сети Петри, которые отличаются от простых сетей Петри учётом време- 
ни, что позволяет моделировать не только последовательность событий, но и их привязку ко 
времени. Это осуществляется приданием переходам веса — продолжительности (задержки) 
срабатывания. Модели протоколов распределения ключей, построенные таким образом, позво- 
лят оценить безопасный диапазон времени действия ключей и нонсов. 
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Тре ро55Юу оЁ итд соогед Рейт пеЁз Гог {Те апа/у$г5 о! Кеу @$тБийоп сгурюдгарЬс ргоюсо[ аз ап ехат- 
ре оРрзутте ис Мееабат—5свгоедег ргоосо! 15 гемеиеа апа ехаигйец. 

Кеуигога&: рго{осо/ уеййсаНоп, Гогта! апа/у55, Кеу тападетепЕ Меедпат—$сгоедЕег ргоосо| соогеа Ре 
пе, СРМ Тоо[. 
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